lunes, 8 de abril de 2013

¿Cómo es posible que en TI sepamos tan poco, poquísimo de seguridad?

Esto es verdaderamente agotador, imposible, extenuante… y por demás insoportable. ¿Cómo es posible que no aprendamos NADA de Seguridad TI? ¿Cómo es posible que muchos de los que están a cargo de la seguridad de grandes organizaciones como por ejemplo bancos, estén tan perdidos en cómo tratar la seguridad? Saben muchiiiiisimo de técnica, pero NADA de efectividad.

Sí, estoy que exploto con un rebote monumental. Estaba haciendo una compra en Internet y descubro que han cambiado las reglas, “llame al banco” dice el mensaje, porque claro no se atrevería mi banco a ser proactivo, al menos en eso son constantes.

Pues es que ahora debo crear una clave más para usarla en Internet. UNA MÁS, y además una frase. La operadora no puede más que darme la ruta de cómo debo configurarlo en la web. Echar un vistazo:

un código CIP de 3 letras y 3 números + una frase

He eliminado arriba el número de la tarjeta a la que he aplicado el dichoso CIP, porque no es para todas las que tienes, es una a una.. y podrías tener datos diferentes para cada una… qué ilusión.

Vamos a ver, ahora tengo los siguientes datos para “recordar” en BBVA –sí solía no decir quién es el banco pero es que me han agotado:

  1. Pin de tarjeta (numérico)
  2. Pin de libreta (numérico)
  3. Usuario de web (letras y números)
  4. Contraseña de web (números)
  5. Código de operación web (más números)
  6. CIP para operar en Internet (letras y números)
  7. Frase de control (una frase de más de 10 letras)
  8. Código de operación por teléfono (números)

Y con todo esto cuando quiero hacer una transferencia internacional tengo que ir personalmente a la oficina, rellenar un formulario a mano, y después lo envían por fax, así como lo digo, ya lo había contado en este blog.

Se supone, (sólo se supone) que yo soy un usuario avanzado, y NO sé dónde o cómo guardar en lugar seguro esa cantidad exagerada de claves, números, letras y frases. Y si multiplico por tarjeta…

El usuario normal tendría que anotarlo junto con la tarjeta, qué alternativa tiene. Eso sin pensar que quizá por pura casualidad, tenga cuenta en otro banco. Le pregunté a mi madre qué haría, “lógicamente no usar lo de Internet y lo otro en algún papelito”.

Resumen: cómo es posible que desperdicien los recursos de una empresa de una forma tan tonta, y además consiguiendo que venda menos. Hay que recordar que hay una opción más segura que tantas claves y códigos: desconectar.

¿Estamos locos?

Conozco a muchos profesionales que se dedican a la Seguridad TI, muchos de ellos amigos. Tanto que se habla de hacer difusión y concienciación, y creo que lo hemos hecho de pena. El mensaje llegó técnicamente, pero útil nada.


RIESGOS OPCIÓN 1
el usuario usa el mismo código para todo, entonces anula toda la intención
OPCIÓN 2
el usuario escribe todos los datos en el mismo lugar donde guarda la tarjeta

1 comentario:

  1. Muy de acuerdo con "Saben muchiiiiisimo de técnica, pero NADA de efectividad". Me hago la misma pregunta cuando me piden para algunas transacciones que insertes dos veces el PIN, es para dar más oportunidades a que alguien te lo vea? si lo he metido bien a la primera, no lo sabre para meterlo la segunda?

    Creo que una medida es simplificar la cantidad de contraseñas pero forzar a que sean más robustas.

    ResponderEliminar